Door je IT-systemen regelmatig te onderzoeken op kwetsbaarheden, voorkom je dat een verborgen zwakke plek leidt tot dataverlies of uitval van vitale systemen. Securityconsultant Serena de Pater heeft jarenlange ervaring met vulnerability management. “De vraag is niet óf je ooit te maken krijgt met een security-incident, maar wanneer.”
Wat is vulnerability management precies?
“Simpel gezegd is dat een proces waarbij we tools gebruiken om systemen, netwerken en applicaties te controleren op zwakke plekken, ofwel kwetsbaarheden. Ontdekte kwetsbaarheden worden verzameld en geïndexeerd, zodat we ze kunnen analyseren. Door kwetsbaarheden tijdig in kaart te brengen, kan een organisatie die verhelpen voordat cybercriminelen er misbruik van kunnen maken.”
“Als Technical Information Security Officer voer ik vulnerability scans uit voor klanten en binnen onze eigen organisatie, bijvoorbeeld door een scanner te plaatsen in een netwerk. Daarnaast analyseren mijn collega’s en ik nieuwe beveiligingskwetsbaarheden die gepubliceerd worden op online securityplatforms en social media. We bekijken waar kwetsbaarheden voorkomen en welke impact ze kunnen hebben op onze organisatie. Vervolgens stellen we een security advisory op, een advies dat beschrijft wat de kwetsbaarheid inhoudt, hoe je deze detecteert in je infrastructuur en – heel belangrijk – hoe je het verhelpt.”
Waarom is het belangrijk voor organisaties om regelmatig een scan uit te voeren?
“Er worden steeds nieuwe kwetsbaarheden ontdekt, ook in software die al langer gebruikt wordt. Cybercriminelen maken hier gretig gebruik van. Hierdoor kan een systeem dat vandaag veilig lijkt morgen een doelwit zijn. Regelmatig een vulnerability scan uitvoeren, zorgt ervoor dat je als organisatie proactief ook deze zwakke plekken kunt identificeren en verhelpen, zodat je cybercriminelen buiten de deur houdt. Het gaat overigens niet alleen om bescherming tegen externe dreigingen, we scannen bijvoorbeeld ook om aan bepaalde afspraken te voldoen of certificeringen te behouden.”
Toch horen we nog vaak van bedrijven die slachtoffer worden van een digitale inbraak of datalek. Wat gaat er dan mis?
“Dat kan van alles zijn, van geavanceerde aanvallen tot ongelukjes, maar meestal gaat het gewoon om een vergissing of onzorgvuldigheid: een instelling vergeten aan te passen, toch op die link in dat rare mailtje klikken of niet op tijd updaten. Maar ook hier kun je met scans wat betekenen. Je kunt bijvoorbeeld onveilige instellingen en ontbrekende beveiligingsupdates opsporen.”
Verkeerde instellingen, onveilige linkjes aanklikken – dat gaat over menselijk gedrag
“En dus is het heel belangrijk dat de organisatie zich bewust is van cyberrisico’s. Zo voorkom je de meeste vergissingen en kun je adequaat actie ondernemen op basis van de informatie uit die scans. Sommige organisaties voeren wel scans uit, maar handelen vervolgens niet snel genoeg om geïdentificeerde kwetsbaarheden te verhelpen. Vanwege gebrek aan middelen of omdat het risico wordt onderschat. Dan maak je jezelf kwetsbaar.”
Hoe vaak moeten organisaties een vulnerability scan uitvoeren?
“Idealiter houd je continu je systemen in de gaten. Voor veel organisaties is een wekelijkse of maandelijkse scan al een goed begin. Bij wijzigingen in het IT-landschap van een bedrijf, zoals een nieuwe applicatie, is het raadzaam om dan ook een scan uit te voeren en maatregelen te nemen tegen eventuele kwetsbaarheden.”
Zijn er verschillende soorten scans?
“Jazeker. Er zijn bijvoorbeeld interne en externe scans. Interne scans richten zich op het eigen netwerk van een organisatie, terwijl externe scans zich richten op de systemen die van buitenaf bereikbaar zijn, zoals een website of mailserver. Er zijn ook gespecialiseerde scans voor specifieke applicaties, databases of besturingssystemen. Daarnaast kunnen we compliance scans uitvoeren. Die controleren specifiek of de computer of netwerkapparatuur volgens de afgesproken wet- en regelgeving staan ingesteld.”
Steeds meer organisaties maken gebruik van cloud services. Hoe ga je daar mee om?
“Dat is een belangrijk aandachtspunt. Bij het gebruik van clouddiensten is het essentieel om te weten waar de verantwoordelijkheden liggen. Veel providers volgen een shared responsibility-model: zij zijn verantwoordelijk voor de beveiliging van de cloud, terwijl de klant verantwoordelijk is voor de beveiliging bínnen de cloud. Je moet dus zeker je cloudomgevingen meenemen in je vulnerability scans.”
Wat zeg je tegen organisaties die nog geen vulnerability scans uitvoeren?
“Begin zo snel mogelijk. Het is niet de vraag óf je ooit te maken krijgt met een security-incident, maar wanneer. Het begint allemaal met het verkrijgen van inzicht: welke systemen beheren we eigenlijk als organisatie? Hoeveel zijn het er en waar staan ze? Als je niet weet wat je hebt, kun je het ook niet beveiligen. Door alles in kaart te brengen en regelmatig te scannen, kun je veel problemen voorkomen.”
‘Kwetsbaarheidsscans helpen je cybercriminelen buiten de deur te houden’
